AAA

百科解釋

Authentication, Authorization and Accounting -- 驗證、授權(quán)和帳戶
認(rèn)證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；
　　授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶；
　　計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。

　　AAA-----身份驗證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計 (Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。奏見authentication。authorization和accounting
　　常用的AAA協(xié)議是Radius。
　　另外還有 HWTACACS協(xié)議（Huawei Terminal Access Controller Access Control System）協(xié)議。HWTACACS是華為對TACACS進行了擴展的協(xié)議。
　　HWTACACS是在TACACS（RFC1492）基礎(chǔ)上進行了功能增強的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，主要是通過“客戶端—服務(wù)器”模式與HWTACACS服務(wù)器通信來實現(xiàn)多種用戶的AAA功能。
　　HWTACACS與RADIUS的不同在于：
　　l RADIUS基于UDP協(xié)議，而HWTACACS基于TCP協(xié)議。
　　l RADIUS的認(rèn)證和授權(quán)綁定在一起，而HWTACACS的認(rèn)證和授權(quán)是獨立的。
　　l RADIUS只對用戶的密碼進行加密，HWTACACS可以對整個報文進行加密。

　　認(rèn)證方案與認(rèn)證模式
　　AAA支持本地認(rèn)證、不認(rèn)證、RADIUS認(rèn)證和HWTACACS認(rèn)證四種認(rèn)證模式，并允許組合使用。
　　組合認(rèn)證模式是有先后順序的。例如，authentication-mode radius local表示先使用RADIUS認(rèn)證，RADIUS認(rèn)證沒有響應(yīng)再使用本地認(rèn)證。
　　當(dāng)組合認(rèn)證模式使用不認(rèn)證時，不認(rèn)證（none）必須放在最后。例如：authentication-mode radius local none。
　　認(rèn)證模式在認(rèn)證方案視圖下配置。當(dāng)新建一個認(rèn)證方案時，缺省使用本地認(rèn)證。
　　授權(quán)方案與授權(quán)模式
　　AAA支持本地授權(quán)、直接授權(quán)、if-authenticated授權(quán)和HWTACACS授權(quán)四種授權(quán)模式，并允許組合使用。
　　組合授權(quán)模式有先后順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權(quán)，HWTACACS授權(quán)沒有響應(yīng)再使用本地授權(quán)。
　　當(dāng)組合授權(quán)模式使用直接授權(quán)的時候，直接授權(quán)必須在最后。例如：authorization-mode hwtacacs local none
　　授權(quán)模式在授權(quán)方案視圖下配置。當(dāng)新建一個授權(quán)方案時，缺省使用本地授權(quán)。
　　RADIUS的認(rèn)證和授權(quán)是綁定在一起的，所以不存在RADIUS授權(quán)模式。

　　計費方案與計費模式
　　AAA支持六種計費模式：本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS、本地計費。

　　AAA ，認(rèn)證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶;計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。整個系統(tǒng)在網(wǎng)絡(luò)管理與安全問題中十分有效。
　　首先，認(rèn)證部分提供了對用戶的認(rèn)證。整個認(rèn)證通常是采用用戶輸入用戶名與密碼來進行權(quán)限審核。認(rèn)證的原理是每個用戶都有一個唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫中每個用戶的標(biāo)準(zhǔn)一一核對。如果符合，那么對用戶認(rèn)證通過。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。
　　接下來，用戶還要通過授權(quán)來獲得操作相應(yīng)任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會執(zhí)行一些命令來進行操作，這時，授權(quán)過程會檢測用戶是否擁有執(zhí)行這些命令的權(quán)限。簡單而言，授權(quán)過程是一系列強迫策略的組合，包括：確定活動的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過程發(fā)生在認(rèn)證上下文中。一旦用戶通過了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限�！∽詈笠徊绞菐簦@一過程將會計算用戶在連接過程中消耗的資源數(shù)目。這些資源包括連接時間或者用戶在連接過程中的收發(fā)流量等等�？梢愿鶕�(jù)連接過程的統(tǒng)計日志以及用戶信息，還有授權(quán)控制、賬單、趨勢分析、資源利用以及容量計劃活動來執(zhí)行帳戶過程。
　　驗證授權(quán)和帳戶由AAA服務(wù)器來提供。AAA服務(wù)器是一個能夠提供這三項服務(wù)的程序。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠程身份驗證撥入用戶服務(wù) (RADIUS)”。
　　目前最新的發(fā)展是Diameter協(xié)議。

通信詞典解釋